Comment la CNIL a-t-elle fixé à 1 750 000 € le montant de l’amende à sa décision du 20 juillet 2021 ?

Quelques extraits de cette décision :

54. Enfin, la formation restreinte rappelle que les amendes administratives doivent être dissuasives mais proportionnées. Elle considère en particulier que l’activité de la société et sa situation financière doivent être prises en compte pour la détermination de la sanction et notamment, en cas d’amende administrative, de son montant. Elle relève à ce titre que la société fait état d’une diminution de son chiffre d’affaires, passé de 9,7 milliards en 2019 à 9,3 milliards en 2020, comme de son résultat net, passé de 350 millions en 2019 à 222 millions en 2020. Si la formation restreinte constate le résultat net a diminué de manière assez significative, elle souligne que celui-ci reste largement positif. Au vu de ces éléments, la formation restreinte considère que le prononcé d’une amende de 1 750 000 euros apparaît justifié, compte tenu notamment de la nécessité de sanctionner des manquements à des principes élémentaires du RGPD, commis par un acteur majeur de la protection sociale en France, concernant plusieurs millions de personnes et portant sur des données de nature sensible ou particulière, comme les coordonnées bancaires.
55. En conséquence, la formation restreinte considère qu’il y a lieu de prononcer une amende administrative de 1 750 000 euros au regard des manquements aux articles 5-1-e), 13 et 14 du RGPD.